HTTPSを使用しているウェブサイトにアクセスする際に、ブラウザーとウェブサーバーの間で証明書とSSL/TLS接続が有効であるかを確認するための手順が行われます。この手順には、TLSハンドシェイク、証明書の認証局との確認、証明書の復号化などが含まれます。設定が間違っていること、サポートされていないバージョンの使用など異常な状態が検出されると、ブラウザーに次のエラーが表示されることがあります:「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」。

この異常が発生するとウェブサイトへのアクセスができなくなります。処理方法については下記をご参照ください。

ERR_SSL_VERSION_OR_CIPHER_MISMATCHの原因について

ERR_SSL_VERSION_OR_CIPHER_MISMATCHエラーはよく発生するの、古いオペレーティングシステムまたはブラウザーです。

しかし、必ずしもそうとは限りません。実は、他のホスティング会社から最近Kinstaに移行してきたお客様のWordPressウェブサイトでも本異常が発生しました。当社はもちろん、Chromeの最新版を使用している為、SSL証明書に関する異常に違いありません。Chromeは読み込みを実施しないことによりユーザーを保護しています。

ERR_SSL_VERSION_OR_CIPHER_MISMATCH
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

本エラーの次のようなバリエーションが表示されることもあります。

  • 113エラー (net::err_ssl_version_or_cipher_mismatch): unknown error
  • クライアントとサーバーで共通のSSLプロトコル バージョンまたは暗号スイートがサポートされていません

考えられる発生原因と処理方法については下記をご参照ください。

SSL証明書を確認する

本エラーが表示された場合、まずウェブサイトにインストールされている証明書のSSLチェックを行った方が良いでしょう。そこで、Qualys SSL Labsの無料のSSL確認ツールの使用をお勧めします。信頼性が非常に高い為、当社が証明書を検証するときにすべてのお客様を対象にこのツールを使用します。ドメインを「Hostname」(ホスト名)欄に入力し、「Submit」(提出)をクリックするだけです。

必要に応じてパブリックな結果を非表示にすることもできます。ウェブサーバー上のサイトのSSL/TLSコンフィギュレーションをスキャンするのに1〜2分かかることがあります。

SSL証明書を確認する - ERR_SSL_VERSION_OR_CIPHER_MISMATCH
SSL証明書を確認する

証明書名の不一致を確認する

上記の特定の例では、Kinstaに移行したお客様の証明書名が一致していなかった為、ERR_SSL_VERSION_OR_CIPHER_MISMATCHエラーが発生しました。下記のSSL Labsの試験の画面からもわかるに、割と速く特定できる異常原因です。SSL Labsによると、不一致といっても以下のようなカテゴリーに分かれています:

  • このウェブサイトにはSSLはありませんが、SSLのある他のウェブサイトとIPアドレスを共有しています。
  • このウェブサイトはもう存在しませんが、ドメインは現在別のウェブサイトのある古いIPアドレスを指しているままです。
  • このウェブサイトはSSLをサポートしていないコンテンツ配信ネットワーク(CDN)を使用しています。
  • ドメイン名は名前の異なるウェブサイトのエイリアスですが、エイリアスは証明書に含まれていません。
証明書名の不一致
証明書名の不一致

証明書のドメイン名の課題を確認するもう一つの簡単な方法は、ウェブサイトにアクセスしてChromeのDevToolsを開くことです。ウェブサイトの好きな場所を右クリックし、「検証」をクリックします。次に、「セキュリティ」タブをクリックし「証明書の表示」をクリックします。割り当てられたドメインが証明書情報に表示されます。この割り当てられたドメインはウェブサイトの現在のドメインと一致しないと、これは問題です。

SSL証明書の割り当てられたドメインを確認する
SSL証明書の割り当てられたドメインを確認する

もちろん、ワイルドカード証明書などもありますが、一般的なウェブサイトではこの2つは完全に一致するはずです。ただし、今回の例では、ERR_SSL_VERSION_OR_CIPHER_MISMATCHエラーのため、ChromeのDevToolsを使用できませんでした。そこでSSL Labsなどのなツールは便利です。

TLSの古いバージョンを確認する

もう一つの考えられる理由は、ウェブサーバーで実行されているTLSのバージョンが古いことです。TLS 1.2以上*(またはTLS 1.3)を実行していることは理想的です。Kinstaのお客様のあなたなら、当社のサーバは常に最新かつ最高のサポートされているバージョンにアップグレードされている為、ご心配必要ありません。KinstaのサーバーもKinsta CDNもTLS 1.3対応です。CloudflareもデフォルトでTLS 1.3を有効にしています。

(参照文献:従来のTLSバージョンをご利用の場合は、ChromeのERR_SSL_OBSOLETE_VERSION 通知を修正することをお勧めします。)

SSL Labsツールはここでも使用できます。設定メニューでは、該当の証明書が付いているサーバのTLSのバージョンが表示されます。古いバージョンなら、ご利用のホスティング会社に連絡し、TLSを更新してもらってください。

TLS 1.3対応のサーバー
TTLS 1.3対応のサーバー

RC4暗号スイートを確認する

GoogleのERR_SSL_VERSION_OR_CIPHER_MISMATCHに関するドキュメントによると、本エラーのもう1つの理由は、Chrome48でRC4暗号スイートが削除されたことです。よくある理由ではありませんが、RC4を必要とする大規模企のウェブサイトでは起こり得ます。なぜでしょうか。規模でより複雑なコンフィギュレーションでは、アップグレードおよび更新に時間がかかるためです。

セキュリティ研究者、Google、およびMicrosoftは、RC4を無効にすることを推奨しています。したがって、サーバーコンフィギュレーションが別の暗号スイートを使用するようにした方が良いでしょう。現在ご利用の暗号スイートはSSL Labsツールで確認できます(下記参照)。

暗号スイート
暗号スイート

コンピュータのSSL状態をクリアする

ChromeのSSL状態をクリアすることも試してみる価値があります。ブラウザのキャッシュをクリアするのと同様に、同期がとれなくなった場合に役立つ手段です。WindowsでChromeのSSLの状態をクリアするには、次の手順に従ってください。

  • Google Chromeの設定アイコン(設定)をクリックし、「設定」をクリックします。
  • 「詳細設定を表示」をクリックします。
  • ネットワークで、プロキシ設定の変更をクリックします。インターネットのプロパティダイアログボックスが表示されるようになります。
  • 「コンテンツ」タブをクリックします。
  • 「SSL状態のクリア」をクリックして、「OK」をクリックします
  • Chromeを再起動します。
WindowsでChromeのSSLの状態をクリアする
WindowsでChromeのSSLの状態をクリアする

Macをご利用の方は、SSL証明書を削除する手順についてこちらを参照してください。

新しいオペレーティングシステムを使用する

古いオペレーティングシステムは、TLS 1.3といった最新の暗号スイートなどの新しいテクノロが現れるにつれブラウザーのサポートがされなきなり、時代遅れになります。最新のSSL証明書の特定のコンポーネントは機能しなくなります。例えば、Google Chromeは、2015年にWindows XPのサポートを終了しました。可能なかぎり、Windows 10またはMac OS Xの最新版など、新しいオペレーティングシステムにアップグレードしましょう。

ウイルス対策を一時的に無効にする

上記の手順を実施してもERR_SSL_VERSION_OR_CIPHER_MISMATCHエラーが発生した場合は、ウィルス対策ソフトが実行されていないことを確認してください。または、一時的に無効にしてください。ウイルス対策プログラムには、ブラウザーとウェブの間に独自の証明書を使用したレイヤを作成するものがあります。そのせいで異常が発生することがあります。